Powered BLUE SSLクライアント認証サーバ (GlobalSign Managed PKI Lite 対応)
Powered BLUE SSLクライアント認証サーバーは、パブリックCAおよびプライベートCAで発行された
・クライアント証明書
を利用してWebアクセスを行う際に「SSLクライアント認証」の機能を持ったアプライアンスサーバーです。
クライアント認証サーバーが対応しているCAとしては
・パブリックCA / グローバルサイン社の「マネージドPKI Lite」のSSLクライアント認証
・プライベートCA / Powered BLUE Private CAのクライアント認証
などです。
グローバルサイン社が運用するパブリック認証局(共有CA)を利用した、公的なSSLクライアント証明書の発行サービスです。GlobalSing社の提供するSaaSのサービス基盤を通して、利用者側でSSLクライアント証明書を発行・失効・管理ができます。
発行されたSSLクライアント証明書は、
・Webアクセス認証
・メールの署名
・暗号化
など「パブリックなSSLクライアント証明書」として利用ができます。
SSLクライアント証明書とは、個人を特定するために発行される電子証明書です。
SSLクライアント証明書がインストールされたPCやスマートフォン・タブレット等を利用することで、システムへのアクセスコントロールが可能になり、さらに電子メールへの電子署名と暗号化により、改ざんやフィッシング詐欺被害の防止を実現できます。
会社などで運用するWebへのアクセス時に、運営者が許可した端末(スマートフォン/タブレット端末/PCなど)のみにグローバルサイン社で発行したSSLクライアント証明書をインストールして、Webへアクセスできる端末をSSLクライアント認証により限定させることが出来ます。
証明書の発行や機器紛失時の証明書の失効や当該の証明書でのアクセス拒否などは、運営者が随時行うことができます。モバイル端末の新規導入やスマフォの紛失等においてもアクセス可否の設定など柔軟な運用が出来ます。
SSLクライアント証明書とID/パスワードを併用するすることで、簡単に2要素認証のシステムを運用することができます。
WebサイトへのアクセスをSSL通信にしただけでは、通信経路のみ暗号化されます。ただしパスワード
の総当たり攻撃には無防備です。また経路が暗号化されるために、経路の中間での攻撃の遮断も出来ません。そのためにパスワードの総当り攻撃を受けるとサーバーの負荷が大きくなります。SSLクライアント認証を導入の場合には、有効なSSLクライアント証明書を持たないユーザーはセッションを確立出来ないため、サーバーの負荷の低減や攻撃の防止を図ることが出来ます。WebサーバーへのアクセスをhttpsのSSLで暗号化させる場合には、「SSLクライアント認証」との併用で、より安全に運用することを推奨します。
Powered BLUE SSLクライアント認証サーバーは、グローバルサイン社の「マネージドPKI Lite」で発行された「パブリックなSSLクライアント証明書」に関して
・Webアクセス時のSSLクライアント認証機能
・失効リスト(crl)の自動取得&自動更新
・リバースプロキシ
などの機能を有したアプライアンスです。
インターネットサーバー(Web/Mail/DNSサーバー)機能も有しており、Web Mail(Roundcube)/オンラインストレージ(ownCloud)/グループウエア(サイボウズ・デスクネッツ)なども、1台の「Powered BLUE SSLクライアント認証サーバー」上で併用での運用ができます
・クライアント証明書
を利用してWebアクセスを行う際に「SSLクライアント認証」の機能を持ったアプライアンスサーバーです。
クライアント認証サーバーが対応しているCAとしては
・パブリックCA / グローバルサイン社の「マネージドPKI Lite」のSSLクライアント認証
・プライベートCA / Powered BLUE Private CAのクライアント認証
などです。
グローバルサイン マネージド PKI Lite とは
グローバルサイン社が運用するパブリック認証局(共有CA)を利用した、公的なSSLクライアント証明書の発行サービスです。GlobalSing社の提供するSaaSのサービス基盤を通して、利用者側でSSLクライアント証明書を発行・失効・管理ができます。
発行されたSSLクライアント証明書は、
・Webアクセス認証
・メールの署名
・暗号化
など「パブリックなSSLクライアント証明書」として利用ができます。
SSLクライアント証明書とは
SSLクライアント証明書とは、個人を特定するために発行される電子証明書です。
SSLクライアント証明書がインストールされたPCやスマートフォン・タブレット等を利用することで、システムへのアクセスコントロールが可能になり、さらに電子メールへの電子署名と暗号化により、改ざんやフィッシング詐欺被害の防止を実現できます。
SSLクライアント認証とは
会社などで運用するWebへのアクセス時に、運営者が許可した端末(スマートフォン/タブレット端末/PCなど)のみにグローバルサイン社で発行したSSLクライアント証明書をインストールして、Webへアクセスできる端末をSSLクライアント認証により限定させることが出来ます。
証明書の発行や機器紛失時の証明書の失効や当該の証明書でのアクセス拒否などは、運営者が随時行うことができます。モバイル端末の新規導入やスマフォの紛失等においてもアクセス可否の設定など柔軟な運用が出来ます。
SSLクライアント証明書とID/パスワードを併用するすることで、簡単に2要素認証のシステムを運用することができます。
SSLクライアント認証のメリット
WebサイトへのアクセスをSSL通信にしただけでは、通信経路のみ暗号化されます。ただしパスワード
の総当たり攻撃には無防備です。また経路が暗号化されるために、経路の中間での攻撃の遮断も出来ません。そのためにパスワードの総当り攻撃を受けるとサーバーの負荷が大きくなります。SSLクライアント認証を導入の場合には、有効なSSLクライアント証明書を持たないユーザーはセッションを確立出来ないため、サーバーの負荷の低減や攻撃の防止を図ることが出来ます。WebサーバーへのアクセスをhttpsのSSLで暗号化させる場合には、「SSLクライアント認証」との併用で、より安全に運用することを推奨します。
Powered BLUE SSLクライアント認証サーバーとは
Powered BLUE SSLクライアント認証サーバーは、グローバルサイン社の「マネージドPKI Lite」で発行された「パブリックなSSLクライアント証明書」に関して
・Webアクセス時のSSLクライアント認証機能
・失効リスト(crl)の自動取得&自動更新
・リバースプロキシ
などの機能を有したアプライアンスです。
インターネットサーバー(Web/Mail/DNSサーバー)機能も有しており、Web Mail(Roundcube)/オンラインストレージ(ownCloud)/グループウエア(サイボウズ・デスクネッツ)なども、1台の「Powered BLUE SSLクライアント認証サーバー」上で併用での運用ができます
簡単設定
専用ウイザードにより、「グローバルサイン マネージド PKI Lite」のSSLクライアント認証設定が簡単に行えます。
製品の特徴
1) SSLクライアント認証サーバーは自社管理で運用
SSLクライアント認証サーバーを自社管理で構築&運用が出来ます
設定はすべてWebブラウザから行います。
2) Webへのアクセスコントロール(SSLクライアント認証)
Webページへのアクセス認証に際して、アクセス条件の設定ができます
部門/支店で許可
例 総務部からのアクセスを許可
例 営業部と開発部からのアクセスを許可
例 大阪支店からのアクセスを許可
日時指定で許可
曜日指定 (例 月曜日 から 金曜日まではアクセス許可)
時間指定 (例 9:00 から 17:00 まではアクセス許可)
特定のユーザーを除外
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
証明書を失効させることなく、Webへのアクセスを禁止できます
例 端末を紛失したので、ただちにAさんの証明書でのアクセスを禁止
3) オールインワン
Webなどのインターネットサーバー機能
Webアプリの運用(Webメール/グループウエア/オンラインストレージ/ホームページ/他)
SSLでのWebへのアクセス&SSLクライアント認証およびWebアプリを1台で運用が出来ます
Powered BLUEのインターネットサーバー機能(Mail/DNS/Syslog/他)が利用できます
4) SSLクライアント認証&リバースプロキシ
SSLクライアント認証とリバースプロキシ機能を1台で運用
既存のwebサーバーへのアクセスにSSLクライアント認証を簡単に導入出来ます
既存のWebサーバー側の変更は必要ありません
既存Webサービスへのクライアント認証&リバースプロキシの適用例
グループウェア/Webメール/Web-EDI/ワークフロー/オンラインストレージ/ホームページ
リバースプロキシ構成ネットワーク例
リバースプロキシ設定画面
複数のリバース先を指定出来ます
5) 仮想アプライアンス対応
Hyper-V/VMWareの仮想アプライアンスに対応
6) Amazon サーバーパック / CloudStack対応
クラウド環境としては、Amazon AWS / Apache CloudStack / Citrix CloudPlatform対応
各種のプライベートクラウドやパブリッククラウド
データセンターなどでプライベートCAサーバーを運用出来ます
AWSではサーバーパックにより専用AMIでの対応 お客様のAWSアカウントですぐに運用が出来ます。 AWSでのセットアップ方法 |
|
CloudStackへは仮想アプライアンスをインポートするだけで簡単に運用出来ます CloudStackへのインポート方法 |
7) マルチテナント対応
1台のサーバーで、複数のSSLクライアント認証サイトの運用に対応
テナントごとに、個別に 「サイト管理者の権限をアサイン」 して運用が出来ます
SSLアクセスログの仮想サイト毎の分離出力に対応
運用例
企業で運用の場合には、支店や部門ごとに仮想サイトを構築
仮想サイト毎に、個別にSSLクライアント認証やリバースプロキシのサービスを提供
支店ごとに仮想サイトを作成、支店の担当者へ各仮想サイトの管理者権限を委譲
8) SNI (Server name Indication)対応
固定IPアドレスが1個の場合でも、複数の仮想サイトを構築して仮想サイトごとに
個別のSSLのサーバー証明書を登録・運用出来ます
例 固定IP=1の環境で、各小中学校20校分の個別のSSLのWebサイトを構築
9) ロードバランサ連携も簡単
ロードバランサーではhttpsのサービスを通過させます
複数のWebサーバーでSSLクライアント認証
通信経路全域でSSL通信(終端のWeb側でのSSLクライアント認証)
リバースプロキシの冗長構成
ロードバランサー配下に「Powereed BLUE SSLクライアント認証&リバースプロキシ」設置
SSLクライアント認証後に既存Webサーバー側にリダイレクト
リバースプロキシ側でSSLクライアント認証を行うため、既存Web側での設定変更は不要
通信経路全域でSSL通信(常時SSL&終端までのSSL通信に対応)
10) その他 SSL VPNでのSSLクライアント認証連携
ハードウエア・アプライアンスモデルも用意しました
電源を入れるだけで、すぐに利用出来ます。 プライベートCAやインタネットサーバー機能などをオールインワンで運用出来ます。インターネットサーバー機能については、 B860モデル と同等の機能を有しています。 |
運用例
項目 | 名称 | 対応 | 内容 |
---|---|---|---|
Webアプリケーション SSLクライアント認証 アクセス認証 例 |
NTTデータ イントラマートワークフロー エイトレッド X-point 楽々Workflow II eValue NS サイボウズ デスクネッツ Active! mail Powere egg RoundCube Aipo WaWaOffice OpenWebMail Zabbix Proself ownCloud 鉄飛テクノロジー FileBlog 他 |
○ | オールインワン運用 *1 リバースプロキシ運用 *2 ロードバランサー対応 *3 |
*1 オールインワン運用
SSLクライアント認証とWebサーバなどを1台のPowered BLUEサーバーSSLクライアント認証サーバーでで運用出来ます。
Webサーバーを別途用意する必要はありません。
*2 リバースプロキシ運用
SSLクライアント認証とリバースプロキシー機能を1台のPowered BLUEで運用を行い、認証後に、リバースプロキシ機能で既存の Webサーバへリダイレクトさせることが出来ます。
*3 ロードバランサーと連携での運用もできます
製品のタイプ | ベーシックタイプ *1 | リバースプロキシタイプ*2 |
---|---|---|
リバースプロキシ | なし | あり |
https Webアクセス認証 | SSLクライアント認証 | |
対応のCA | パブリックCA / プライベート CA | |
失効リスト(CRL) | CRL発行周期/24時間毎(グローバルサイン マネージドPKI Lite) CRLの自動入手&更新 |
|
証明書 (グローバルサイン) | 証明書形式(X.509.ver.3) アルゴリズム(SHA-1/SHA256) 3階層 |
|
ログ | アクセスログの出力先変更可能 | |
インターネットサーバー機能 | Web/Mail/DNS/ftp/Syslog サーバー |
*1 ベーシックタイプは、SSLクライアント認証とインターネットサーバー機能を有しています。
*2 リバースプロキシタイプは、ベーシックタイプの機能に加えてリバースプロキシの機能を有しています。
動作環境
対応OS | Red Hat Enterplize Linux CentOS |
|
---|---|---|
仮想アプライアンス | VMWare ESXi 5.0 / ESXi 5.1/ ESXi 5.5 / ESXi 6.0 / ESXi 6.5 Hyper-V 3.0 |
|
クラウド環境 | Apache CloudStack / Citrix CloudPlatform *1 | Amazon AWS |
クラウド基盤運用事業社 | GMOクラウド (ALTUS) NTTコミュニケーションズ (cloudn) IDCフロンティア (セルフクラウド) KDDI (クラウドプラットフォームサービス) QIC (Qumo) NTTスマートコネクト 他 |
専用AMI対応 |
CPU / メモリ / HDD (min) | CPU x 1 (1 Core) / メモリ 1024MB / HDD-20GB |
*1 Powered BLUEの仮想アプライアンスのイメージテンプレートでのインポートが出来ます
その他の事業者や運用環境については、お問い合わせください
資料(仮想アプライアンス VMware版・Hyper-V版)
評価版
評価環境について お問い合わせください。
価格表(仮想アプライアンス ・ ハードウエアアプライアンス)
グループウェアSSLクライアント認証パック
プリセット出荷に対応の グループウエア&Web Mail |
サイボウズ office | デスクネッツ | Active! Mail |
---|---|---|---|
SSLクライアント認証 | ○ | ○ | ○ |
*1 上記以外のWebアプリに対応のプリセット出荷も対応可能です。
*2 SSLクライアント証明書に対応しているブラウザでご利用出来ます。